Tudatos kockázatmenedzsment vs. megfelelés

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "Tudatos kockázatmenedzsment vs. megfelelés"

Lóránd Bodnár
6 évvel ezelőtt
Látták:

1 Tudatos kockázatmenedzsment vs. megfelelés Horváth Balázs Ruha Norbert

2 Agenda A korszerű kockázatmenedzsment kihívásai és jellemzői A megfelelés problémaköre Tapasztalatok, következtetések Támogató eszköz bemutatása 2

3 A korszerű kockázatmenedzsment kihívásai - A vállalatok informatikai támogatásának egyre dinamikusabb fejlődése - Folyamatosan változó és növekvő fenyegetettség-tér hatékony kezelése - Védelmi intézkedések folyamatos fenntartása és fejlesztése - A védelem teljes körűségének, zártságának (sérülékenységek minimumon tartásának) folyamatos biztosítása 3

4 A fenyegetettség-tér számokban 100 biztonsági ellenőrzés/ip 1000 IP átlag 20 SW komponens 20 db sebezhetőség/ip 5 db /IP 4

A kockázat- és sérülékenység menedzsment rendszerek gyengeségei- a fenyegetettség tér változása Which of the following attack types have exploited your

5 A kockázat- és sérülékenység menedzsment rendszerek gyengeségei- a fenyegetettség tér változása Which of the following attack types have exploited your organization in 2015? Forrás: State of Cybersecurity - Implications for 2016 ( 5

6 A tudatos és korszerű kockázatmenedzsment jellemzői Önfejlesztő, tanuló: Amit nem ismerünk, az ellen védekezni sem tudunk hatékonyan! Ha nem ismerjük a helyes választ, elkésünk! Folyamatos: A fenyegetettség-tér folyamatosan változik, aki lemarad, nagy valószínűséggel válik áldozattá! Gyors reagálású: pl.: 0. órai probléma, nincs idő hezitálni! Integrált: Amit szigetszerűen látunk, az nem biztos, hogy a teljes valóság! Automatizált: A fenyegetettségek számosságát ember nem kezelheti hatékonyan, ha így tesz lemarad a küzdelemben! 6

7 Példa egy integrált, hatékony kockázatmenedzsment rendszerre AC FW IPS/IDS SLA&TM Auditok és átvizsgálások eredményei WC DDOS SIEM IBIR ISE AV Sérülékenység menedzsment eszköz DLP EMM BCP, DRP tesztek eredményei 7

8 Ma már a vállalati információbiztonsági szakértelem legnagyobb értéke nem a manuális védelem megvalósítása, hanem az IBIR és a technológiai védelmi rendszer hatékony kiépítése, összekapcsolása és működtetése. 8

9 A TRC ajánlata kockázatmenedzsment eszközökre 9

10 Agenda Kockázatmenedzsment korszerű kihívásai és jellemzői A megfelelés problémaköre Tapasztalatok, következtetések Támogató eszköz bemutatása 10

Megfelelési kényszer vállalat MSZ ISO/IEC 27001:2014 szabvány PCI DSS szabvány GDPR MNB 1/2015. ajánlása 1997.

11 Megfelelési kényszer vállalat MSZ ISO/IEC 27001:2014 szabvány PCI DSS szabvány GDPR MNB 1/2015. ajánlása évi CLIV. törvény évi L. törvény 41/2015. (VII. 15.) BM rendelet évi CXII. törvény évi XLVII. törvény 11

12 Megfelelés vs. Tudatos kockázatmenedzsment Tulajdonság Önfejlesztés, tanulás Folyamatosság Gyorsreagálás Integráltság Automatizáltság Tudatos kockázatmenedzsment Megfelelés 12

13 Agenda Kockázatmenedzsment korszerű kihívásai és jellemzői A megfelelés problémaköre Tapasztalatok, következtetések Támogató eszköz bemutatása 13

14 Tapasztalatok, következtetések A vállalatok többsége megfelelés minimumra törekszik! A magas szintű bürokrácia miatt elvész a valódi védelemre fordítható energia! A törvényi megfelelés elsősorban mennyiségi és nem minőségi kontrollokra fókuszál! Az auditorok - felkészültségük függvényében- gyakran túlzóan vagy túl megengedően értelmezik a törvényt! A legtöbb törvényből hiányzik az IBIR, illetve az hogy hogyan érjük el a megfelelést A megfelelés szükséges, de nem elégséges! A tudatos és korszerű kockázatmenedzsment alkalmazása automatikusan ad megfelelést, de fordítva nem áll fenn az ok-okozat! 14

15 Agenda Kockázatmenedzsment korszerű kihívásai és jellemzői A megfelelés problémaköre Tapasztalatok, következtetések Támogató eszköz bemutatása 15

16 16

17 Globális vevői kör 17

18 Az integrált Qualys felület 18

Kipróbálási lehetőségek Próba verzió tartalma: Korlátlan hálózati feltérképezés és felfedezés Korlátlan hálózati perem vizsgálat PCI megfelelés

19 Kipróbálási lehetőségek Próba verzió tartalma: Korlátlan hálózati feltérképezés és felfedezés Korlátlan hálózati perem vizsgálat PCI megfelelés vizsgálat Web alkalmazás biztonsági vizsgálat Malware fertőzések és fenyegetések érzékelése IT biztonsági policy készítés, vizsgálat és riportálás 19

20 Ad-hoc Folytonos Gyakorlatias Adminisztratív Hatékony kockázatkezelés vs. megfelelés Qualys-al Lassan fejlődő Dinamikus, naprakész Széles spektrumú védelem Keskeny spektrumú védelem 20

21 A megfelelés még nem nyújt biztonságot, sőt sok esetben hamis biztonságtudatot eredményez! 21

22 Köszönjük a figyelmet! 22

Hasonló dokumentumok

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu

Rendszerszemlélet let az informáci cióbiztonsági rendszer bevezetésekor Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu Informáci cióbiztonsági irány nyítási rendszer (IBIR) részeir Információs vagyon fenyegetettségeinek